Report Acronis sulle minacce digitali del secondo semestre 2025

I criminali informatici dedicano meno tempo all'uso dell'AI per sviluppare nuovi attacchi, ma questa non è una buona notizia. Secondo il Report Acronis sulle minacce digitali del secondo semestre 2025, gli hacker sfruttano l'AI per colpire più vittime e ampliare la portata di attacchi il cui funzionamento è già collaudato. In breve, stanno lavorando in modo più efficiente.

La sintesi riepilogativa del Report Acronis sulle minacce digitali del secondo semestre 2025 esplora numerose tendenze della Cyber Security e approfondisce nel dettaglio l'impatto dell'evoluzione dell'AI sul panorama delle minacce.

Secondo il riepilogo del rapporto, l'80% dei fornitori di Ransomware‑as‑a‑Service (RaaS) pubblicizza la vendita di funzionalità di AI o automazione. I criminali preferiscono sfruttare l'AI per perfezionare gli attacchi esistenti invece di perdere tempo a crearne di nuovi e utilizzano le capacità dell'AI per migliorare e ampliare tecniche e tattiche comprovate, tra cui la ricognizione degli obiettivi per l'estorsione di dati e le negoziazioni per le frodi e i riscatti.

Inoltre, come molti impiegati, per risparmiare tempo i cybercriminali delegano all'AI l'esecuzione autonoma e semi‑autonoma di varie attività. Grazie all'AI, gli aggressori possono ridurre il carico di lavoro e sferrare più attacchi in meno tempo, beneficiando degli stessi vantaggi che l'intelligenza artificiale offre ai Managed Service Provider (MSP) e ad altre attività.

• GLOBAL GROUP, un gruppo specializzato in ransomware, ha introdotto un chatbot assistito dall'AI per avviare i negoziati con le vittime ed estorcere così riscatti più consistenti.‑
• Un altro gruppo ransomware, GTG‑2002, ha utilizzato strumenti di AI per generare script, acquisire credenziali e analizzare i dati rubati.
• Un'intrusione attribuita a un autore sponsorizzato dallo Stato cinese è avvenuta grazie all'uso di un agente AI che ha svolto attività di ricognizione e uso delle credenziali con un intervento umano minimo.‑
• Aumenta il successo delle truffe che simulano rapimenti grazie all'uso dell'AI per generare false foto e video di "prova in vita".‑

Nella seconda metà del 2025 si è osservato un netto aumento degli attacchi ransomware e di quelli sferrati tramite e-mail e piattaforme di collaborazione. L'e-mail resta il vettore di attacco dominante, mentre gli attacchi alle app di collaborazione sono la via preferenziale per il social engineering di precisione e l'uso improprio dei privilegi.

• Gli attacchi basati su e-mail sono aumentati del 16% per organizzazione e del 20% per utente su base annua.
• Nel secondo semestre del 2025, è stato registrato un aumento del 36% rispetto al primo semestre, un dato che conferma l'e-mail come metodo primario per l'accesso iniziale.
• Il phishing domina nel secondo semestre, ed è responsabile dell'83% di tutte le minacce e-mail, mentre gli attacchi avanzati sono solo l'1%.

• È netto l'aumento degli attacchi avanzati alle applicazioni di collaborazione, che passano dal 12% del 2024 al 31% del 2025, una percentuale superiore di 30 volte rispetto agli attacchi tramite e-mail.
• Il malware è presente nel 54% degli attacchi, mentre il phishing nel 15%.

• I settori della produzione e della tecnologia sono i principali obiettivi, a causa della pressione continua all'operatività negli ambienti IT/OT complessi.
• Le compromissioni di supply chain e terze parti hanno causato almeno 1.200 vittime tra gennaio e novembre 2025.‑

• Acronis ha individuato quasi 100 provider attivi di RaaS; solo nel secondo semestre del 2025 sono stati osservati 34 nuovi gruppi.
• Fino ad ottobre, gli attacchi ransomware sono aumentati del 50% su base annua, con i gruppi Qilin, Sinobi e Akira tra i più attivi.

Le vulnerabilità restano un problema serio per i service provider, che non sempre riescono ad applicare la patch ai sistemi in modo efficace. Il report indica che nel 2025 i gruppi specializzati in ransomware hanno colpito 150 vittime tra operatori di telecomunicazioni e MSP (69 questi ultimi).

Vettori di accesso iniziali per la compromissione degli MSP

• Phishing: resta il vettore principale con il 52%.

• Vulnerabilità non corrette: il più diffuso degli incidenti legati agli MSP e alla supply chain, questo tipo di attacco è stato il vettore di accesso iniziale nel 27% degli attacchi agli MSP.

• Abuso di credenziali: 13%.

• Relazioni ritenute attendibili: 5%.

• RDP (Remote Desktop Protocol): 3%.

Nel 2025 sono state rese pubbliche quasi 3.000 vulnerabilità critiche, un numero che evidenzia l'importanza e l'urgenza della gestione delle patch. Inoltre, il 100% delle vulnerabilità segnalate nelle piattaforme MSP, come RMM e PSA, erano di livello elevato o critico, il che sottolinea il loro grave rischio operativo.

Per statistiche, osservazioni e suggerimenti sulla Cyber Security, leggi la sintesi riepilogativa del Report Acronis sulle minacce digitali del secondo semestre 2025.